CVE-2026-7790 in cowlibالمعلومات

الملخص

بحسب VulDB • 13/05/2026

ثغرة استهلاك الموارد غير الخاضع للرقابة في مكتبة ninenines cowlib (وحدة cow_http_te) تسمح بإفراط في تخصيص الموارد (Excessive Allocation).

يقبل مُترجم ترميز النقل المقطّع (chunked transfer-encoding) في cow_http_te عدداً غير محدود من الأرقام الست عشرية في حقل حجم القطعة (chunk-size). كل رقم يتسبب في عملية ضرب لأرقام كبيرة (bignum multiplication) بصيغة (Len * 16 + digit)، وبالتالي فإن معالجة N من الأرقام الست عشرية تتطلب عملاً بمعالج من التعقيد O(N²) وذاكرة من التعقيد O(N). بالإضافة إلى ذلك، عندما يتم تغذية المدخلات بشكل متقطع (drip-fed)، يتجاهل المُترجم الطول المتراكم في كل قراءة جزئية ويعيد البدء من الصفر عند الاستئناف، مما يرفع التكلفة إلى O(N³). يمكن لمهاجم عن بُعد غير مصرح له استغلال هذا الثغرة عن طريق إرسال طلب HTTP/1.1 يحتوي على رأس Transfer-Encoding: chunked وسلسلة طويلة جداً من الأرقام الست عشرية لحجم القطعة، مما يؤدي إلى حجب الخدمة (Denial of Service) نتيجة استنفاد موارد المعالج وتضخم الذاكرة.

ترتبط هذه الثغرة بملف البرنامج src/cow_http_te.erl والإجراءات البرمجية cow_http_te:stream_chunked/2 و cow_http_te:chunked_len/4.

تؤثر هذه المشكلة على cowlib: من الإصدار 0.6.0 قبل 2.16.1.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

EEF

حجز

04/05/2026

إفشاء

11/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-362751

CPE

جاهز

CWE

CWE-400 (مؤكد)

CVSS

5.3 (VulDB)

EPSS

0.00114

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-7790
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-7790
CVE Details	https://www.cvedetails.com/cve/CVE-2026-7790/

التالي ▸نظرة عامة ◂ السابق

Interested in the pricing of exploits?

See the underground prices here!